你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
零信任是一种安全策略,假定存在漏洞并验证每个请求,就好像它源自不受控制的网络一样。 本文介绍如何将零信任原则应用于Microsoft Azure 基础结构和服务。
有关零信任作为安全模型及其跨 Microsoft 产品的应用程序的综合信息,请参阅 “什么是零信任?”。
Azure 的零信任原则
如今,组织需要一个安全模型,它有效地适应现代环境的复杂性,拥抱移动员工,并保护人员、设备、应用程序和数据,无论他们位于何处。
零信任安全模型基于三个指导原则:
- 显式验证 - 始终基于所有可用数据点(包括用户标识、位置、设备运行状况和服务或工作负荷)进行身份验证和授权。
- 使用最低特权访问 - 通过 Just-In-Time 和 Just-Enough-Access(JIT/JEA)、基于风险的自适应策略和数据保护来限制用户访问。
- 假设出现信息泄露 - 最大限度地减少影响范围,并对访问进行分段。 验证端到端加密,并使用分析来获取可见性、推动威胁检测和改进防御。
将原则应用于 Azure 工作负荷
在 Azure 中实现零信任时,这些原则将转换为特定的体系结构模式:
显式验证 意味着必须使用 Microsoft Entra ID 对 Azure 资源的每个访问请求进行身份验证和授权,条件访问策略根据多个信号评估风险,包括用户、设备、位置和工作负荷上下文。
使用最小特权访问需要使用基于角色的访问控制 (RBAC) 并获配最小权限,对管理操作进行即时 (JIT) 访问,以及使用托管身份而不是存储凭据。
“假设已遭入侵”的安全理念推动了网络分段以限制横向移动、对静态数据和传输中的数据进行加密、持续监视和威胁检测,以及使用不可变备份来防御破坏性攻击。
Azure 中的零信任体系结构
零信任方法遍及整个数字环境,并作为一种集成的安全理念和端到端策略。 在应用于 Azure 时,需要一种多学科的方法,以系统地解决基础设施、网络、身份和数据保护问题。
此图提供了构成零信任的主要元素的表示形式。
在插图中:
- 安全策略强制实施位于零信任体系结构的中心。 这包括使用条件访问进行多重身份验证,这些条件访问将考虑用户帐户风险、设备状态以及设置的其他条件和策略。
- 标识、 设备 (也称为终结点)、 数据、 应用程序、 网络和其他 基础结构 组件都配置了适当的安全性。 为每个组件配置的策略都与整体零信任策略进行协调。
- 威胁防护和智能监视环境、显示当前风险,并采取自动措施来修正攻击。
从基于周边防御的模式转变到零信任模型
IT 的传统访问控制方法基于限制对企业网络外围的访问。 此模型将所有资源限制为公司拥有的网络连接,并且变得过于严格,无法满足动态企业的需求。
在 Azure 环境中,转移到零信任尤其重要,因为云资源存在于传统网络外围之外。 组织必须采用零信任方法来进行访问控制,因为他们接受远程工作并使用云技术来转换其业务模式。
零信任原则有助于建立并持续提高安全保证,同时保持现代云环境中所需的灵活性。 大多数零信任旅程从访问控制开始,并以身份作为首选和主要的控制措施。 网络安全技术仍然是一个关键因素,但它不是完全访问控制策略中的主导方法。
有关 Azure 中访问控制的零信任转换的详细信息,请参阅云采用框架的 访问控制。
实现 Azure 基础结构的零信任
将零信任应用到 Azure 需要一种有条不紊的方法,该方法可以解决基础结构的不同层,从基础元素到完整的工作负荷。
Azure IaaS 和基础结构组件
Azure IaaS 的零信任可解决完整的基础结构堆栈:具有加密和访问控制的存储服务、具有受信任启动和磁盘加密的虚拟机、具有微分段的辐射网络、中心网络以及通过专用终结点进行 PaaS 集成。 有关详细指南,请参阅 将零信任原则应用于 Azure IaaS 概述。
Azure 网络
网络安全侧重于四个关键领域:加密所有网络流量、使用网络安全组和 Azure 防火墙进行分段、通过流量监视实现可见性,以及停止使用基于 VPN 的旧式控制,以支持以标识为中心的方法。 有关详细指导,请参阅 将零信任原则应用于 Azure 网络。
身份作为控制平面
在 Azure 中,标识是零信任的主要控制平面。 条件访问充当主策略引擎,根据多个信号评估访问请求,以授予、限制或阻止访问。 有关详细信息,请参阅 零信任的条件访问 和 Azure 标识管理安全概述。
保护数据和确保可用性
在 Azure 中,数据保护需要多层措施:静态和传输中的加密、使用托管标识和 RBAC 的基于标识的访问控制,以及对于高度敏感的工作负载,通过机密计算在数据处理过程中提供保护。 抵御破坏性攻击的复原需要资源锁、不可变备份、异地复制和保护恢复基础结构本身。 有关详细指南,请参阅 保护 Azure 资源免受破坏性网络攻击。
威胁检测和响应
零信任要求持续监视,假设威胁可能已存在。 Microsoft Defender for Cloud 为 Azure 资源提供统一的安全管理和威胁防护,同时与 Microsoft Defender XDR 集成可在整个环境中实现相关检测。 有关详细信息,请参阅 Azure 威胁检测概述 和 Microsoft Sentinel 和 Microsoft Defender XDR。
共同责任和 Azure 安全性
Azure 中的安全性是Microsoft与客户之间的共同责任。 Microsoft保护物理基础结构和 Azure 平台,而客户负责标识、数据和应用程序安全性,但部门因服务模型(IaaS、PaaS、SaaS)而异。 实现零信任需要通过客户配置选项协调平台级控制。 有关详细信息,请参阅云中责任分担。
Azure 安全功能
虽然本文重点介绍零信任到 Azure 的概念应用,但了解可用的安全功能广度非常重要。 Azure 跨基础结构的所有层提供全面的安全服务。
有关按功能区域组织的 Azure 安全功能的概述,请参阅 Azure 安全性简介。 有关按保护、检测和响应功能组织的 Azure 安全性的视图,请参阅 Azure 中的端到端安全性。
其他详细指南适用于特定域:
- 标识和访问 - Azure 标识管理安全概述
- 网络安全 - Azure 网络安全概述
- 数据保护 - Azure 加密概述 和 Azure Key Vault 安全性
- 计算安全性 - Azure 虚拟机安全概述
- 平台安全性 - Azure 平台安全性概述
- 威胁检测 - Azure 威胁检测概述
- 管理和监视 - Azure 安全管理和监视概述
应用程序开发和零信任
部署在 Azure 上的应用程序必须对每个请求进行身份验证和授权,而不是依赖于来自网络位置的隐式信任。 关键原则包括使用 Microsoft Entra ID 进行身份验证、请求最低权限、保护敏感数据以及使用托管标识而不是存储的凭据。 有关全面指南,请参阅 使用零信任原则进行开发 ,并使用 Microsoft标识平台生成零信任就绪应用。
后续步骤
若要在 Azure 环境中实现零信任,请从以下资源开始:
- 将零信任原则应用于 Azure 服务概述 - 从此处开始,全面了解如何跨不同 Azure 服务类型应用零信任
- 将零信任原则应用于 Azure IaaS 概述 - 基础结构工作负荷的详细指南
- 将零信任原则应用于 Azure 网络 - 网络安全实施指南
- 保护 Azure 资源免受破坏性网络攻击 - 复原和恢复规划
- 什么是零信任? - 跨 Microsoft 产品的综合零信任指南
对于更广泛的Microsoft零信任资源:
- 零信任部署指南 - 技术区域特定的部署目标
- 零信任采用框架 - 以业务成果为中心的实施指南
- Microsoft 365 的零信任 - SaaS 和生产力工作负载指南